Guardia de CSRF: ¿Inyecta el token en la solicitud POST?

Navega tus respuestas
0

He implementado CSRF Guard en mi aplicación web. Está funcionando bien para las solicitudes GET (con AJAX y sin AJAX) sin embargo, para el token de solicitud POST no se inyecta en la solicitud, por eso CSRF guarda una excepción: Token is missing in the request.

Mi pregunta aquí es:

  1. CSRF Guard inyecta el token en la solicitud POST o no? Si es SÍ, entonces lo que tengo que buscar para que funcione.
  2. ¿Tengo que cambiar mis solicitudes POST para que funcione con CSRF guard? (Guarde el token en campos ocultos y utilícelo para solicitudes POST).

Por favor, hágame saber sus puntos si lo sabe. Gracias.

    
pregunta Simpal Kumar 20.12.2014 - 13:38
fuente

1 respuesta

1

En general, de hecho, crearía un campo oculto en sus formularios para el token CSRF cuando realice POST.

Desde la documentación , debería tener este aspecto:

<input type="hidden" name="<csrf:token-name/>" value="<csrf:token-value/>"/>

Además, para poder trabajar en solicitudes de publicación, la propiedad inject-into-forms debe ser verdadera, como se ve en el ejemplo: 

<init-param>
    <param-name>inject-into-forms</param-name>
    <param-value>true</param-value>
</init-param>

De hecho, deshabilitar este parámetro es particularmente desaconsejable, debido a la sensibilidad de muchas solicitudes POST.

    
respondido por el Xander 20.12.2014 - 14:12
fuente

Lea otras preguntas en las etiquetas

¿Conducir por descarga sin interacción del usuario? [duplicar] Cómo decidir el flujo de software / proceso de negocio es lo suficientemente seguro